Actualizaciones de la norma ISO 27001:2022 para una gestión robusta de la seguridad de la información

La seguridad de la información es una preocupación crítica en el entorno empresarial actual, y la norma ISO 27001 ha sido reconocida como un estándar internacional para la gestión de la seguridad de la información. Recientemente, se ha publicado una nueva versión de esta norma. La nueva versión de ISO 27001 se publicó el 25 de octubre de 2022. En este artículo, descubriremos las actualizaciones más destacadas y su relevancia para las organizaciones en la protección de su información sensible.

La última versión de la norma ISO 27001 introduce mejoras en los controles existentes y aborda nuevas áreas de preocupación en la seguridad de la información. Se han actualizado y ampliado algunos y además, se han agregado 11 nuevos controles de seguridad que reflejan las últimas tendencias tecnológicas y las amenazas emergentes, esto incluye áreas como:

• Inteligencia sobre amenazas.
• Seguridad de la información para el uso de servicios en nube.
• Preparación de TIC para la continuidad de los negocios..
• Monitoreo de seguridad física.
• Gestión de configuraciones.
• Exclusión de información.
• Enmascaramiento de datos.
• Prevención de fuga de datos.
• Actividades de monitoreo.
• Filtrado web.
• Codificación segura.

En la versión anterior los controles estaban agrupados en 14 categorías y ahora pasa de 114 controles en 14 grupos a 93 controles en 4 grupos.

Estos son:

•Organizacional

•Personas

•Físico

•Tecnológico

Dentro de la cláusula 5.3. de la norma, se establece la importancia de transmitir de manera clara los roles relacionados con la seguridad de la información en todos los niveles de la organización. La norma ISO 27001:2022 destaca la importancia de comprender el contexto organizacional en la gestión de la seguridad de la información. Las organizaciones ahora deben examinar detalladamente su contexto interno y externo, incluyendo factores como la cultura empresarial, la cadena de suministro, los requisitos legales y reglamentarios, así como las expectativas de las partes interesadas. Esta comprensión más profunda permite una implementación más efectiva de políticas y controles de seguridad de la información.

Con relación a la cláusula 6.2. de la norma ISO 27001, se hace hincapié en la necesidad de supervisar de forma explícita los objetivos de seguridad de la información. La última versión de la norma ha fortalecido este enfoque al requerir que las organizaciones establezcan indicadores clave de desempeño (KPIs) y realicen evaluaciones periódicas del sistema de gestión de seguridad de la información. Esto permite a las organizaciones identificar áreas de mejora y tomar medidas correctivas y preventivas de manera oportuna.

Todos los certificados emitidos bajo la ISO 27001:2013 se considerarán válidos hasta el 25 de octubre de 2025, lo que significa que mantendrán su vigencia durante tres años después de la publicación de la nueva versión.

Las empresas que cuenten con la certificación ISO 27001:2013 deben completar la transición a la ISO 27001:2022  antes del 31 de octubre de 2025.

Las organizaciones tienen la opción de obtener o renovar su certificación bajo la norma ISO 27001:2013 hasta el 25 de abril de 2024, que representa un período de dieciocho meses después de la publicación de la nueva versión.

En resumen, los cambios en el núcleo del modelo estándar son menores y se pueden realizar rápidamente con ajustes mínimos en la documentación y los procesos. Las modificaciones en los controles del Anexo A son moderadas y se pueden abordar principalmente mediante la incorporación de los nuevos controles en la documentación existente.